[ oliverhaddo @ 09.08.2009. 15:26 ] @
Može li netko objasniti kako osigurati skriptu koja se poziva AJAX-om, da se može izvršiti jedino u slučaju da je pozvana iz predviđenog java script koda?Naime, često AJAXOM pozivamo nekaskripta.php koja vrši izmjene na bazi podataka i kako tu skriptu zaštiti od hackera?Naime, razmišljao sam da bi se mogao iskoristiti nekakav unique koji se onda provjerava na serverskoj strani, ali je problem u tome da je javascript dostupan korisniku i nemoguće je sakriti taj unique, session varijabla se isto ne može iskoristiti jer se sadržaj ne može pročitati javascriptom...
[ Ivan.Markovic @ 10.08.2009. 11:38 ] @
Mozes da proveravas IP adresu sa koje je pozvan php script.
[ Milos911 @ 10.08.2009. 14:58 ] @
? http://www.elitesecurity.org/t372237-0#2355429
[ goky2002 @ 10.08.2009. 20:50 ] @
Citat:
Mozes da proveravas IP adresu sa koje je pozvan php script.


IP adresa se sa sigurnoscu ne moze dobiti kod web aplikacije, to bi trebalo da je poznato isto tako se lako moze krivotvoriti.
Cisto jedna napomena vezana za security
[ Impaler @ 27.04.2010. 10:02 ] @
Citat:
oliverhaddo: Može li netko objasniti kako osigurati skriptu koja se poziva AJAX-om, da se može izvršiti jedino u slučaju da je pozvana iz predviđenog java script koda?Naime, često AJAXOM pozivamo nekaskripta.php koja vrši izmjene na bazi podataka i kako tu skriptu zaštiti od hackera?Naime, razmišljao sam da bi se mogao iskoristiti nekakav unique koji se onda provjerava na serverskoj strani, ali je problem u tome da je javascript dostupan korisniku i nemoguće je sakriti taj unique, session varijabla se isto ne može iskoristiti jer se sadržaj ne može pročitati javascriptom...


ovo bi afaik bilo ekvivalentno i ne manje komplicirano od obicne validacije inputa
a ako je input validan znaci da je dosao od validnog koda.
(if it quacks like duck it is duck)

[Ovu poruku je menjao Impaler dana 27.04.2010. u 11:13 GMT+1]